ウィルスに感染している電子メールを識別するには?

スパムとフィッシングは、犯罪者が悪徳な手段で収入を得られる最も効果的な 2 つの技法です。人類のテクノロジーへの依存、特にインターネットへの依存度がいや増す中、サイバー犯罪者たちが組織化された犯罪グループに統合されていくことが分かっていますが、そこでは疑うことをしない被害者たちからお金を巻き上げるための悪意のあるプロジェクトを実行するために躍起になっています。

How to identify an email infected with a virus?

多くの方はサイバー犯罪者がセキュリティ・システムを破るコードの使い方を知り、遠隔からユーザーの PC の制御権を乗っ取れる最先端のハッカーだと思いがちですが、実際には全く異なります。ほとんどの場合、このようなサイバー犯罪者は単にスキルのある詐欺師で、ソーシャル・エンジニアリング のメソッドを使用してユーザーを騙し、PC にマルウェアをインストールさせているだけです。スパムやフィッシングを使用してマルウェアをばら撒くやり方がその最たる証拠であり、実際のところ、サイバー犯罪の論理的進化と定義することができるでしょう。

事実、PC ネットワークをハッキングするために取るべき手段は、一部の信じやすい従業員に誰かの履歴書のように見えるメールの添付ファイルを何とかして開かせるだけとなれば、何時間もかけて策を講じた攻撃手段を作り上げる必要もないわけです。そういった手法がかなり効果が高いことが判明しており、相手はマルウェアの配布をかなり加速させています。

How to identify an email infected with a virus?

例えば、2017 年はランサムウェアの年であったと広く認められており、事実として 2017 年の第1四半期におけるフィッシング関連の電子メール の 93% にランサムウェアが含まれていたことからもその事実が証明されています。明らかに、2018 年のスパムやフィッシングの広がりが今後より大きな数字に昇ると信じるだけの根拠がそこに見て取れます。

悪意のあるスパムの例

マルウェアを埋め込まれた電子メールは今のところ最も効果的な攻撃手法です 。スパマーは今現在進行中のイベント (スポーツ・イベント、セール、納税のシーズンなど) をぱっと利用して、何百、何千というテーマ別のメール・メッセージを送信しますが、中には時季を問わず効力を発揮する仕掛けもあります。以下に上げる例では、マルウェアの頒布によく使われているフィッシング・メールの種明かしをしましょう。願わくば、これらの例により今後フィッシング・メールを見抜き、不明な個人から送られてきたメールの信用性についてもう少し懐疑的になられることを願っています。

例 No. 1: 履歴書または職務応募メール

履歴書が添付されているフィッシング・メールは通常採用の判断を行う採用担当者やマネージャ、また企業のオーナー宛に送付されます。そのようなメールには僅か 2、3 行のテキストが書かれているのが一般的であり、受信者に添付の履歴書を開くよう呼びかけるものです。通常、詐欺師たちは特定の企業や医療組織に感染させようとする際に、このようなフィッシング・メールが説得力を持つことを狙っています。そのようなメールは主に CryptoWall 3.0GoldenEye、および Cerber のスパム・キャンペーンで使用されていました。そのようなフィッシング・メールの例をいくつか上げてみましょう。

Malware-laden resume

例 No. 2: オンライン商用サイトの巨人、Amazon からと主張するフィッシング・メール

サイバー犯罪者は、一見すると合法的なように見える偽のメール・アカウントから送られるフェイク・メールで Amazon ユーザーをペテンにかける傾向があります。このようなフィッシング・メールは被害者からお金を巻き上げるため、あるいは重大な PC ウィルスを運ぶ悪意のあるメールの添付ファイルを送り付けるために使用される場合があります。

例えば、詐欺師たちは auto-shipping@amazon.com というメール・アドレスを使用して Locky ランサムウェア を含んでいるメールを何千通と送信していました。そのようなメールの件名の欄には、「Your Amazon.com Order Has Dispatched (#order_number)」(あなたの Amazon.com のご注文が発送されました (#注文_番号)) のようなタイトルが書かれ、ZIP 形式の添付ファイルが付いており、この中に悪意のある JS ファイルが入っています。

それを開くと特定のウェブサイト からランサムウェアがダウンロードされるというわけです。以下に、Locky を送り付ける悪意のあるメールのサンプルと、Spora の配布キャンペーンの分析中に取得したサンプルをお見せしましょう。

Amazon email scams

例 No. 3: 請求書

Locky ランサムウェアの大流行に一役買った大変手際のよいテクニックのもう 1 つの例に、「ATTN: Invoice-[任意のコード]」という名前の添付ファイルを含むフィッシング・メールがあります。このような欺瞞的なメールにはメッセージ欄に数行のテキストが書かれており、被害者に「添付の請求書 (Microsoft Word 文書)」を見るように求めています。唯一の問題は Word 文書に実際には悪意のあるスクリプトが含まれており、それがマクロ機能を経由してアクティブになるというものです。以下は上述のフィッシング・メールの例です。

Malicious emails distributing Locky

例 No. 4: 主要なスポーツ・イベントのテーマを悪用したスパム

スポーツがお好きですか?それならスポーツをテーマにしたスパムにお気づきのことでしょう。最近、Kaspersky のリサーチャーが、サッカーの欧州選手権、来る 2018 年および 2022 年のワールド・カップ、およびブラジルでのオリンピック大会に関心のあるユーザーをターゲットにしたメールが増大している ことに気が付きました。そのようなメッセージには悪意のある ZIP アーカイブが含まれており、中には JavaScript ファイルの形でトロイの木馬 (マルウェアのダウンローダ) が含まれています。専門家によると、このトロイは複数のマルウェアを PC にダウンロードするように設定されているそうです。悪意のあるメッセージの例を下にあげておきましょう。

Malicious spam targeting FIFA fans

例 No. 5: テロをテーマにしたスパム

サイバー詐欺師たちは、テロがトピックとして興味を引くものの 1 つであることを忘れてはいません。当然ながら、このテーマも悪意のあるスパムで使われているのです。テロをテーマにしたスパムは詐欺師のお気に入りというわけではありません。しかし、何が展開されるか予想は付くはずです。以下にそのようなメールのサンプルをお見せしましょう。報告によると、そういったタイプのスパムは一般に個人情報を盗んだり、DDoS 攻撃を実施したり、またマルウェアを拡散するために使用されるとのことです。

Terrorism-based phishing emails

例 No. 6: 「セキュリティ・レポート」を提供するメール

リサーチャーは、もう 1 つ、悪意のある Word 文書を配布するメール・キャンペーンを突き止めました。わかっていることは、これらの文書にも感染性のマクロが含まれており、被害者が必要な機能をアクティブにしたとたんに CryptXXX ランサムウェア をダウンロードし、実行するということです。そのようなメールの件名には「Security Breach – Security Report #[任意のコード]」(セキュリティ違反 – セキュリティ報告書 # [任意のコード]) のように書かれています。

本文には被害者の IP アドレスや PC の位置が記載され、被害者がそのメッセージを本物で信頼できるものだと思うようになっています。メッセージは被害者に、例えば表向きは予防されたとするセキュリティ違反など実在しない脅威について被害者に警告し、メッセージに添付されているレポートを読むように指示します。もちろん、添付ファイルは悪意のあるものです。

Phishing emails delivering ransomware

例 No. 7: 合法的な企業により送信されたとされる悪意のあるスパム

被害者にメールに添付されているファイルを開こうと思わせるために、詐欺師たちは実物とは異なる者である振りをします。ユーザーを騙して悪意のある添付ファイルを開かせる最も簡単な方法は、合法的な企業が所有しているものと全くそっくりな偽のメール・アカウントを作成することです。そのような胡散臭いメール・アカウントを使用して、詐欺師たちは実際にはメールに添付されている悪意のあるプログラムを乗せた、巧みに取り繕ったメールでユーザーを攻撃します。下の例では、Europcar で働いている振りをした詐欺師により送られたメールを示しています。

Scammers impersonate Europcar employees

以下の例では、A1 Telekom 社のクライアントに対する攻撃で使用されたメッセージを示しています。これらのフィッシング・メッセージには紛らわしい DropBox の URL が含まれており、これらは悪意のある ZIP または JS ファイルに移動します。詳しく分析すると、これらのファイルには Crypt0l0cker ウィルス が含まれていることが分かりました。

Mail spam targeting A1 Telekom users

例 No. 8: 上司からの緊急の仕事

最近、詐欺師たちは疑うことを知らない被害者からものの数分でお金を巻き上げられる新しい手口を使い始めました。上司からメールが届いたと想像してみてください。そこには上司が休暇中で、まもなく連絡が付かなくなるため、あなたがとある会社に早急に支払いを起こす必要がると書かれているのです 。残念ながら、実行に移す前に若干詳しく調べることを怠って急いで命令に従うと、会社のお金を犯罪者に送金したり、最悪な場合は会社のネットワーク全体にマルウェアを感染させてしまうことになるでしょう。

もう 1 つ、あなたを騙してそのような悪意のある添付ファイルを開かせるものに、あなたの同僚を装うというものがあります。あなたが大企業にお勤めで、同僚すべてを見知っているわけではない場合、この手口がうまくいく場合があります。そのようなフィッシング・メールの例を下にいくつかあげておきましょう。

Task from boss spam

例 No. 9: 税金をテーマにしたフィッシング

詐欺師は意図的に各国および各地域の税務スケジュールをフォローし、悪意のあるプログラムを配布するために税務関連のスパム・キャンペーンを張るチャンスを決して見逃しません。あらゆる種類のソーシャル・エンジニアリング手法を利用して、気の毒な被害者を騙し、このような欺瞞的な仮想レターに付いてきた悪意のあるファイルをダウンロードさせるのです。

そのような添付ファイルには大抵の場合銀行系のトロイの木馬 (キーロガー) が含まれており、ひとたびインストールされると、被害者の名前や苗字、ログイン情報、クレジット・カードの情報、その他類似のデータを盗み出します。悪意のあるプログラムは、悪意のある添付ファイルの中、あるいはメッセージ内に挿入されているリンク内で待ち構えています。以下は、賦課された税金の偽レシートを届けるメールの例ですが、これは実際にはトロイの木馬です。

Income Tax Receipt virus

詐欺師たちは、当人に対して何か保留中の法執行行為が存在すると書くことで、ユーザーの注意を引き、悪意のある添付ファイルを強制的に開かせようとすることもあります。メッセージには「IRS からの召喚状に関して」何か対処する必要があると書かれていますが、その内容がメッセージに添付されているというのです。もちろん、添付文書は召喚状などではなく、保護されたビューで開く悪意のある文書であり、被害者に編集を可能にするように求めてきます。その結果、文書内の悪意のあるコードが PC にマルウェアをダウンロードするのです。

Tax Subpoena scam

最後の例では、詐欺師たちが会計担当者を騙して悪意のある添付ファイルを開かせる手法を示しています。メールは CPA の支援を求めている人物から送られてきたように見えますが、もちろん、そこには添付ファイルが 1 つか 2 つ付属しています。これらは単純に典型的な悪意のある Word 文書で、被害者が開いたとたんに、スクリプトを有効にしてリモート・サーバーからマルウェアをダウンロードします。

Tax Phishing

悪意のあるメールを識別し、身の安全を守るには?

悪意のあるメールを回避するためには、従うべき主要な原則がいくつかあります。

  • 迷惑フォルダは見ない。 メールがスパムまたはジャンクのセクションに振り分けられるには理由があります。つまり、メール・フィルタが何千人ものユーザーに送信されている同一あるいは類似のメールを自動的に識別していること、または多くの受信者がすでにそのメッセージをスパムであるとマークを付けたことを意味しています。合法的なメールがこのように分類されることは極めて珍しいことであるため、迷惑フォルダやジャンク・フォルダには近寄らない方がよいでしょう。
  • メールを開く前に送信元を確認する。 送信元がよく分からない場合は、そのようなメールの内容には関わるべきではありません。アンチウィルスまたはアンチマルウェア・プログラムを入れていても、メッセージに記載されているリンクをクリックせず、考えなしに添付ファイルを開かないでください。最善のセキュリティ・プログラムでも、真新しいウィルスの開発者にたまたま最初のターゲットとして選ばれた場合、それを識別することができない可能性があるのです。送信元が不明な場合は、その相手が勤めているとする企業に必ず電話を掛け、受領したばかりのメールについて尋ねてください。
  • PC のセキュリティを最新版に更新する。 古いプログラムにはセキュリティの脆弱性が沢山あるため、それらをシステムに置いておかないようにすることが重要です。そういったリスクを避けるには、ソフトウェアの自動更新を有効にしておくことです。最後に、良いアンチマルウェア・プログラムを使用して悪意のあるプログラムを駆除しましょう。PC を守れるのは最新版のセキュリティ・プログラムだけですので、ご注意ください。古いものを使用中で、更新のインストールが遅れがちになる場合、それは単に悪意のあるプログラムに、見つかることなく、またブロックもされず、どうぞお入りくださいと言っているようなものです。
  • URL が安全かどうかを、クリックせずに確認する。 受信したメールに怪しい URL が含まれている場合、マウスをその上にかざし、その有効性を検証します。ウェブ・ブラウザの左下を見てください。今からリダイレクトされる実際の URL が表示されます。それが怪しく思えたり、末尾に .exe、.js または .zip と付いていたら、それをクリックしてはいけません!
  • サイバー犯罪者はたいてい書き方がうまくありません。 そこで、短いメッセージであっても、スペルや文法のミスなく書かれていないことがよくあります。何か見つかったら、メッセージに挿入されている URL や添付されているファイルには近づかないでください。
  • 急がないこと! 送信者がどうも添付ファイルや特定のリンクを開くようにと押し付けてくるなと思ったら、実行する前によくよく考えてみた方がよいでしょう。添付されているファイルには、恐らくマルウェアが含まれています。
著者について
Olivia Morelli
Olivia Morelli

ルウェア・アナリスト...

Olivia Morelli に連絡する
Esolutions について

別の言語で読む
ファイル
ソフト
比較